Astra linux госуслуги эцп

Доступ к сайту Госуслуг

Для аутентификации через ЕСИА (https://esia.gosuslugi.ru/) потребуется токен с парой ключей и сертификатом, а также плагин для работы с порталом государственных услуг IFCPlugin.

IFCPlugin обращается к библиотеке PKCS#11 работающей, как правило, с pkcs15 токенами. Это может быть аппаратный ключ защиты (Рутокен ЭЦП, Jacarta ГОСТ и т.д.), контейнер криптопровайдера КриптоПро, или любой подходящий контейнер с поддержкой ГОСТ. Подписание и шифрование происходит внутри контейнера (средствами аппаратного ключа или средствами криптопровайдера).

Генерирование ключей и получение сертификата

Для получения сертификата необходимо:

1. Сгенерировать ключ на токене в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11.
2. Сформировать запрос на квалифицированный сертификат.
3. Транспортировать запрос в аккредитованный УЦ (тестовый УЦ не подойдет).
4. Получить сертификат и записать его на токен в формате, совместимом с форматом плагина Госуслуг, то есть через библиотеку PKCS#11.

Рутокен ЭЦП 2.0

Для генерации ключей, формирования запроса на сертификат и записи сертификата на Рутокен ЭЦП можно воспользоваться ПО «Рутокен плагин», (работает через библиотеку PKCS#11 и совместим с плагином Госуслуг) и ПО «Центр регистрации Рутокен» ra.rutoken.ru.

JaCarta

Для генерации ключей, формирования запроса на сертификат и записи сертификата на JaCarta 2 ГОСТ можно воспользоваться утилитой pkcs11-tool: JaCarta/ГОСТ, либо криптоПро: JaCarta/ГОСТ#КриптоПро, для JaCarta PKI: JaCarta/PKI#КриптоПро

ESMART Token ГОСТ

Для генерации ключей, формирования запроса на сертификат и записи сертификата на ESMART Token ГОСТ можно воспользоваться утилитой PKIClientCli: ESMART#Утилита_PKIClientCli

Установка плагина IFCPlugin

Для установки плагина для работы с порталом государственных услуг необходимо:

1. Загрузить плагин со страницы https://ds-plugin.gosuslugi.ru/plugin/upload/ (по умолчанию начнется скачивание deb-пакета, но на странице доступны и rpm-пакеты: rpm пакет 64-bit и rpm пакет 32-bit:
2. Установить плагин, выполнив из папки со скачанным плагином команду (под правами пользователя root):

Установить расширение для плагина Госуслуг, в зависимости от версии браузера: Расширение для Google Chrome/Chromium/Chromium GOSTРасширение для Mozilla Firefox

Перезапустить браузер.

Убедиться, что плагин установлен и включен. В Mozilla Firefox сделать это можно на странице about:addons (или about:plugins в более ранних версиях), на странице chrome://extensions/ в Chrome/Chromium/Chromium GOST:

mkdir /etc/chromium/native-messaging-hosts ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/

ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so.4.0.4 /usr/lib/mozilla/plugins/lib/libcppkcs11.so

Сертификаты КриптоПро

• lsb-cprocsp-pkcs11-64-4.0.9929-5 (для полноценной поддержки ГОСТ-2012 лучше использовать версию 4.0.9944)
• ifcplugin-3.0.6.0-release

Необходимо добавить в файл /etc/ifc.cfg в блок params:

(блок в данном файле выделяется круглыми скобками, разделы блока выделяются фигурными, после закрывающей фигурной скобки раздела, если это не последний раздел в блоке, ставится запятая)

(если фигурная скобка последняя в конфигурационном файле, то запятой после нее быть не должно!)

Журнал работы плагина можно найти в файле /var/log/ifc/engine_logs/engine.log .

Авторизация на сайте Госуслуг

Для авторизации на сайте Госуслуг с помощью электронной подписи следует:

1. В браузере Firefox на странице авторизации Госуслуг нажать на ссылку «Вход с помощью электронной подписи»:
2. Подключить токен с ключом к компьютеру, нажать кнопку «Готово»:
3. Выбрать сертификат ключа проверки электронной подписи, щёлкнув левой кнопкой мыши по строке с сертификатом:
4. Ввести Пин-код пользователя и нажать кнопку «Продолжить»:

Дополнительно

Источник

Astra linux госуслуги эцп

Рассматриваемая конфигурация:

• один из поддерживаемых КриптоПро CSP дистрибутивов Linux (x86, x64)
• КриптоПро CSP 4.0 R4 = 4.0.9963 (необходимо использовать КриптоПро CSP 4.0 не ниже сборки 4.0.9963 или Криптопро CSP 5.0 не ниже сборки 5.0.11319)
• плагин для работы с порталом государственных услуг (IFCPlugin)
• ключевой контейнер с соответствующим квалифицированным сертификатом внутри
• один из браузеров (рекомендуется использовать последнюю доступную версию):
  • Chromium
  • Google Chrome (только x64)
  • Спутник (только x64)
  • Chromium GOST (только x64)
  • Яндекс.Браузер (только x64)
  • Opera (только x64)
  • Mozilla Firefox

  Порядок настройки:

  1) Установить основные пакеты КриптоПро CSP 4.0 R4 ( x86-rpm , x86-deb , x64-rpm , x64-deb ) запуском скрипта install.sh,

  пакеты lsb-cprocsp-pkcs11, cprocsp-rdr-gui-gtk и

  необходимые пакеты для поддержки используемых ключевых носителей из состава дистрибутива КриптоПро CSP (если эти пакеты не установлены):

  Ключевой носитель	Дополнительные необходимые пакеты
  флеш-накопитель, жесткий диск	—
  смарт-карты (например, ОСКАР, Магистра)	cprocsp-rdr-pcsc
  Рутокен Lite	cprocsp-rdr-pcsc, cprocsp-rdr-rutoken
  Рутокен S	cprocsp-rdr-pcsc, cprocsp-rdr-rutoken, ifd-rutokens
  ESMART token	cprocsp-rdr-pcsc, cprocsp-rdr-esmart
  eToken, JaCarta	cprocsp-rdr-pcsc, cprocsp-rdr-jacarta
  .	.

  При необходимости для удовлетворения зависимостей установить требуемые пакеты штатными средствами ОС.

  2) Установить плагин для работы с порталом государственных услуг (IFCPlugin) ( x86-rpm , x86-deb , x64-rpm , x64-deb ) (если он не установлен).

  При необходимости для удовлетворения зависимостей установить требуемые пакеты штатными средствами ОС.

  3) Загрузить файл конфигурации для IFCPlugin ( x86 , x64) в домашнюю директорию текущего пользователя.

  4) Подключить ключевой носитель (флеш-накопитель, Рутокен, ESMART token и т.д.).

  5) Выполнить в терминале команды:

  sudo cp ~/ifcx86.cfg /etc/ifc.cfg
  
  /opt/cprocsp/bin/ia32/csptestf -absorb -certs -autoprov

  sudo cp ~/ifcx64.cfg /etc/ifc.cfg
  
  /opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov

  6) Для Chromium/Спутник/Яндекс.Браузер также необходимо выполнить в терминале команду:

  sudo cp /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts

  7) Проверить в используемом браузере, что включено расширение — Расширение для плагина Госуслуг.

  Расширение для Mozilla Firefox (установить можно открытием ссылки в Firefox или перетаскиванием файла раширения в окно Firefox).

  8) На странице входа на портал Госуслуг:

  • нажать на ссылку Войти с электронной подписью,
  • нажать на кнопку Готово,
  • выбрать нужный сертификат электронной подписи,
  • в окне Ввод пин-кода ввести любое значение (оно на даннном этапе не проверяется) и нажать кнопку Продолжить,
  • при возникновении окна КриптоПро CSP ввести пин-код для ключевого контейнера в поле Пароль: и нажать кнопку OK.

  Источник

  О программе

  

  

  ViPNet PKI Client— универсальный программный комплекс, разработанный компанией ИнфоТеКС. Предназначен для решения основных задач пользователя при работе с сервисами, использующими:

  • заверение документов электронной подписью;
  • шифрование файлов;
  • аутентификацию пользователей для доступа к веб-сервисам;
  • построение защищенных TLS-соединений.

  Состав ПО

  В состав ViPNet PKI Client входят следующие компоненты:

  • File Unit – компонент для работы с файлами;
  • Web Unit – компонент для работы с данными, передаваемыми браузерами;
  • CRL Unit – компонент для обеспечения актуальности требуемых для работы c сертификатами CRL;
  • Certificate Unit – компонент для управления жизненным циклом сертификатов, менеджер сертификатов;
  • TLS Unit – компонент для обеспечения организации TLS-соединений со стороны клиента для защищенного доступа к порталам;
  • ViPNet CSP — провайдер криптографических функций.

  Установка

  Для установки ПК ViPNet PKI Client выполните следующие действия:

  1. Распакуйте дистрибутив в произвольный каталог с помощью команды:

  3. Перейдите в папку с установочным файлом и пакетами ViPNet PKI Client.

  4. Запустите сценарий install.sh с правами суперпользователя с помощью команды:

  5. Программа установки выполнит проверку наличия пакетов, необходимых для установки. Если какой-либо пакет не будет найден, программа установки завершит свою работу, и вы получите соответствующее сообщение. В этом случае установите недостающие пакеты и снова запустите программу установки.

  Примечание. Если на вашем компьютере установлен криптопровайдер ViPNet CSP версии ниже 4.2.8, то во время установки возможны сообщения о конфликтах с существующими пакетами. В этом случае удалите эти пакеты и снова запустите программу установки.

  Запуск и настройки компонентов

  Vipnet PKI Client Settings

  

  Чтобы запустить настройки ViPNet PKI Client, в меню приложений выберите ViPNet PKI Client Settings или выполните команду: /opt/itcs/bin/pki-client-settings

  При первом запуске настроек ViPNet PKI Client появится электронная рулетка

  

  Установка сертификатов

  Vipnet PKI File Unit

  

  File Unit — программа, которая позволяет выполнять с файлами следующие операции:

  • Подтверждать и проверять личность отправителя с помощью электронной подписи
  • Обеспечивать безопасность файлов с помощью шифрования и работать с зашифрованными файлами, полученными от других пользователей

  Web Unit, TLS Unit и CRL Unit

  Программы Web Unit, TLS Unit и CRL Unit (демон pki-client-crlunit) запускаются автоматически после загрузки операционной системы.

  Если вы завершили работу программы, то для запуска выполните следующие действия:

  Чтобы запустить программу Web Unit, в меню приложений выберите ViPNet PKI Client Web Unit или выполните команду: /opt/itcs/bin/pki-client-web-unit

  Чтобы запустить программу TLS Unit, в меню приложений выберите ViPNet PKI Client TLS Unit или выполните команду: /opt/itcs/bin/pki-client-tls-unit

  Чтобы запустить программу CRL Unit выполните команду: /etc/init.d/pki-client-crlunit start systemctl start pki-client-crlunit

  Если вы используете операционную систему Astra Linux 1.5, выполните команду: /etc/init.d/pki-client-crlunit start

  

  Про ifcp плагин

  Предварительно должны быть добавлены личные сертификаты в хранилище uMy согласно инструкции: Работа с КриптоПро CSP

  Для доступа к Госуслугам с помощью сертификатов следует использовать КриптоПро Linux версии 4r4 и выше.

  Установка плагина для работы с порталом государственных услуг

  Для аутентификации через ЕСИА esia.gosuslugi.ru следует:

  1) Скачать IFCP-плагин с сайта ГосУслуг в формате «deb» — файл IFCPlugin-x86_64.deb с сайта: https://ds-plugin.gosuslugi.ru/plugin/upload/Index.spr

  

  3) Добавить расширение для Госуслуг в браузере chromium:

  Для правильной работы плагина в браузере Chromium следует создать символические ссылки:

  sudo ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts
  sudo ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/ru.rtlabs.ifcplugin.json

  

  Настройка конфигурационных файлов

  4) Привести конфигурационный файл IFCplugin /etc/ifc.cfg к виду :

  Просмотр журналов

  Для проверки работы плагина, в терминале в режиме live можно просмотреть логи:

  Вход с помощью электронной подписи

  Для авторизации следует пройти по адресу: esia.gosuslugi.ru и выбрать Вход с помощью электронной подписи

  

  9) Подключив токен, следует нажать кнопку «Готово», после чего система предложит выбрать нужный сертификат ключа проверки ЭЦП:

  

  Источник